一尘不染

无法使用Spring模板通过SSL连接到LDAP服务器

tomcat

我正在使用spring模板通过ssl连接到ldap服务器。我使用以下命令从服务器保存ssl证书:

echo -n | openssl s_client -connect <ldapserverip>:<port> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ldapserver.pem

然后转到/ jre / lib / security目录,并执行以下命令将证书添加到cacerts。

keytool -import -keystore cacerts -file ldapserver.pem

然后使用以下命令验证cacerts条目列表中的计数:

keytool -list -keystore cacerts

我在tomcat中运行该应用程序,并且tomcat指向相同的JDK_HOME。

使用spring在ldapTemplate中使用authenticate()登录时,在Tomcat中出现以下异常。

Root exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

纯文本(没有https)工作正常。我也尝试设置VMArguments,但没有一个起作用。

-Djavax.net.ssl.trustStore="<path to cacerts file>"
-Djavax.net.ssl.trustStorePassword="<passphrase>"

我该如何解决这个问题?

谢谢


阅读 416

收藏
2020-06-16

共1个答案

一尘不染

信任链看起来很破。两个可能的原因。

  1. 来自服务器的证书不是单个证书,而是连接到根CA的链,并且您仅导入了一个。您需要验证并导入完整的链。

一个。要检查证书链,请使用openssl将其转储

    >openssl s_client -showcerts -connect host:port

b。要导入链,您需要将PEM转换为PKCS#7或拆分。将PEM转换为PKCS#7

ii。分裂

  1. 导入证书时,请使用“ -trustcacerts”选项,以便将密钥库中的证书视为信任链。
    >keytool -import -trustcacerts -file /path/ldapserver.pem -alias somealias -keystore /security/cacerts
    
2020-06-16